Hola,
Tenemos una plataforma de ciberseguridad de terceros que escanea constantemente todos nuestros dominios en busca de vulnerabilidades. Mi servidor Discourse (que ejecuta la versión 2.9.0.beta7) alojado en DigitalOcean está marcando los siguientes NVT y CVE. Todos los CVE están relacionados con nginx. ¿Me he saltado algún proceso para actualizar nginx? Agradezco cualquier ayuda.
¡Hola!
A menos que tu imagen base esté desactualizada (lo cual no debería ser posible, ya que se te impediría actualizar a través de la interfaz de usuario si lo estuviera), Discourse no es vulnerable a esas CVE de nginx. Puedes ver la versión de Nginx utilizada en discourse_docker/image/base/install-nginx at main · discourse/discourse_docker · GitHub, y si miras nginx security advisories, la versión 1.21.0+ no es vulnerable a las CVE enumeradas.
¿Cómo instalaste Discourse? ¿Seguiste las instrucciones de instalación oficiales? ¿Hay algún proxy delante de tu instancia?
Gracias por tu rápida respuesta Joshua,
No hay proxies delante de la instancia.
La instalé a través del Marketplace de 1 clic en DigitalOcean: Discourse | DigitalOcean Marketplace 1-Click App
La instancia es Ubuntu 20.04.2 LTS
Así que tenemos soporte limitado para la instalación de 1 clic. Eso viene de DigitalOcean, no tenemos control sobre ello. A pesar de que DigitalOcean dice “Soportado por: DigitalOcean”, la URL de soporte envía a la gente aquí, donde el personal de DO no está. 
De todos modos, lo primero que intentaría, para descartar un escenario extraño de imagen base, es conectarse por SSH a su droplet y ejecutar lo siguiente:
cd /var/discourse
git pull
sudo ./launcher rebuild app
Este último comando asegurará que tenga la última imagen base, así como el último código de Discourse. Advertencia: su sitio se caerá mientras se ejecuta.
Luego, vuelva a ejecutar su escáner y vea qué informa.
Gracias Joshua,
Haré lo que sugieres y te informaré.
¿Alguna opinión sobre los tres NVT mencionados?
securehttpOnlyNo estoy familiarizado personalmente con los NVT. Y Google no está dando resultados prometedores, véase Google Search por ejemplo. Lo mejor que encuentro son resultados en securityspace.com, un sitio que, curiosamente, no usa SSL/TLS y parece haber sido construido en los 90.
¿Su plataforma de ciberseguridad de terceros proporciona más detalles sobre los 3 NVT además de los títulos?
Re: los dos primeros:
Parece que la instancia está mal configurada y no se da cuenta de que está sirviendo a través de https.
SiteSetting.force_https = true puede resolver esto.
Re: el tercero:
Esta es una propiedad del host en el que se está ejecutando Discourse y debe corregirse allí.
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.
